Qualche tempo fa avevamo parlato di servizi VPN per Android e le permissioni da loro richieste: il ricercatore di sicurezza John Mason aveva scoperto infatti che oltre il 62% delle App VPN per Android (anche a pagamento) richiede permissioni eccessive e pericolose rispetto alle funzioni che deve svolgere (e certo, stona ancora di più se teniamo di conto che, almeno in teoria, un servizio VPN dovrebbe garantire proprio la privacy).
Per approfondire >> Servizi VPN per Android: oltre il 62% richiede permissioni invadenti e superflue.
Torniamo sull'argomento per indicare come anche dietro le app apparentemente più innocue, si celino spessissimo permissioni eccessive e pericolose. E' di qualche giorno fa un dettagliato report che ha analizzato circa un migliaio di app per le torce dei nostri smartphone, tutte disponibili al download sul Google Play Store. Anche in questo caso, la situazione è grave:
- oltre 400 applicazioni, tra quelle analizzate, richiedono 10 permissioni o meno;
- 300 circa richiedono tra le 11 e le 49 permissioni;
- 260 circa richiedono tra le 50 e le 77 permissioni.
Eppure, affinchè un'app destinata all'uso della torcia possa funzionare, dovrebbe "accontentarsi" di accedere alla torcia stessa e alla camera del nostro smartphone. Quindi, quali sono le permissioni che richiedono queste app? Quanto sono realmente necessarie rispetto alle funzioni che le app stesse dovrebbero svolgere?
Fonte: https://www.hackread.com |
Facciamo quale esempio: più di 180 richiedono l'accesso alla rubrica dei contatti: un'opportunità d'oro per inviare spam di massa. Oltre 140 richiedono di geolocalizzare lo smartphone, quindi di sapere dove ci troviamo in quel momento. 21 invece richiedono addirittura il permesso di scrivere ai nostri contatti al posto nostro. La foto sotto mostra le permissioni più richieste dalle applicazioni analizzate nel report.
|
- DOWNLOAD_WITHOUT_NOTIFICATION consente all'app di scaricare file senza che il download stesso sia notifcato all'utente;
- CALL_PHONE consente invece di lanciare chiamate senza passare dall'app predefinita;
- GET_ACCOUNTS consente l'accesso all'app alla lista degli account presenti sul dispositivo (Twitter, Facebook, Amazon e qualsiasi altra applicazione con accoun in uso nel nostro smartphone);
- RECORD_AUDIO consente l'attivazione del microfono e la registrazione di audio;
- PROCESS_OUTGOING_CALLS, che consente all'applicazione di vedere il numero che si sta chiamando, consentendo il reindirizzamento a altro numero della chiamata o la sospensione della stessa...
Tirando le somme
La maggior parte delle applicazioni segnalate nel report richiedono appunto permissioni pericolose e del tutto sproporzionate o inutili rispetto alle funzioni che devono svolgere, quindi sarebbero da evitare. Il consiglio è sempre quello di verificare attentamente quali permissioni si concedono prestando attenzione alla lista che ogni applicazione visualizza al momento dell'installazione. Se l'applicazione per il meteo richiede l'accesso alla lista dei vostri account social, potete legittimamente sospettare di essa ed evitarne l'installazione.
Non tutti i mali (e le permissioni) vengono per nuocere
Le permissioni sopra elencate sono evidentemente sproporzionate e inutili rispetto alle funzioni di un applicazione per la torcia e per questo c'è forse da domandarsi quale sia il vero scopo dei vari sviluppatori di queste app. Alcune permissioni però, per quanto possano risultare strane e metterci in allarme, sono comunque correlate all'attività dell'applicazione stessa.
Dal report emerge un esempio chiarissimo: oltre 400 delle applicazioni analizzate richiedono la permissione KILL_BACKGROUND_PROCESSES, che consente di terminare processi che sono in esecuzione in background. Tra i questi processi in background vi sono solitamente gli antivirus, quindi è lecito sia domandarsi il perchè di tale richiesta sia sospettare dell'app che ce la richiede.
Dal report emerge un esempio chiarissimo: oltre 400 delle applicazioni analizzate richiedono la permissione KILL_BACKGROUND_PROCESSES, che consente di terminare processi che sono in esecuzione in background. Tra i questi processi in background vi sono solitamente gli antivirus, quindi è lecito sia domandarsi il perchè di tale richiesta sia sospettare dell'app che ce la richiede.
In realtà questa permissione è richiesta da molteplici applicazioni e può essere sfruttata a fini legittimii: è una permissione che consente di ridurre il consumo della batteria chiudendo applicazioni non immediatamente in uso dall'utente, consentendo quindi di prolungare l'uso della torcia.
Nessun commento:
Posta un commento